标题: 刚写一个批处理,还需大家共同研究一下!! [打印本页]
作者: chineselgs 时间: 2006-6-9 19:58 标题: 刚写一个批处理,还需大家共同研究一下!!
为了搞定我们这里的logo_1(威金)病毒.我费了好大功夫写了个批处理,因能力有限,还有很多不明之处,请大家指教!!
@echo off
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share admin$ /del
net share ipc$ /del
wmic process where name="logo1_.exe" call terminate
wmic process where name="rundl132.exe" call terminate
wmic process where name="0Sy.exe" call terminate
wmic process where name="1Sy.exe" call terminate
wmic process where name="2Sy.exe" call terminate
wmic process where name="3Sy.exe" call terminate
taskkill /fi "imagename eq 4Sy.exe"
taskkill /fi "imagename eq 5Sy.exe"
taskkill /fi "imagename eq 6Sy.exe"
taskkill /fi "imagename eq 7Sy.exe"
taskkill /fi "imagename eq 8Sy.exe"
taskkill /fi "imagename eq 9Sy.exe"
wmic process where name="VM_STI.ESE" call terminate
wmic process where name="svchsOt.exe" call terminate
wmic process where name="svchs0t.exe" call terminate
wmic process where name="logo1_.exe" call terminate
wmic process where name="rundl132.exe" call terminate
del c:\windows\logo1_.exe
del c:\windows\rundl132.exe
del c:\windows\0Sy.exe
del c:\windows\1Sy.exe
del c:\windows\2Sy.exe
del c:\windows\3Sy.exe
del c:\windows\4Sy.exe
del c:\windows\5Sy.exe
del c:\windows\6Sy.exe
del c:\windows\7Sy.exe
del c:\windows\8Sy.exe
del c:\windows\9Sy.exe
del c:\windows\logo1_.exe
del c:\windows\rundl132.exe
del c:\windows\svchsO.exe
del c:\windows\svchs0.exe
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v load
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW /v auto
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows /v ver_down0
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows /v ver_down1
pause
taskkill /fi "imagename eq cmd.exe"
taskkill /fi "imagename eq cmd.exe"
刚才测试开机运行一切还算正常,但是问题立马出来了,这个病毒是通过局网传播的,就算开机OK,但是过一会又会被网内其他的机器连累了.
该怎么办?总不能十分钟运行一次吧!
上次把网内机器的挨个清了一次(将近八十台啊,累的我~~~),暂时OK了
不到一天,又有了!!
该怎么办啊??同志们帮帮俺啊!!!
[ Last edited by chineselgs on 2006-6-10 at 13:47 ]
作者: bagpipe 时间: 2006-6-10 08:54
唉,其实您这个批处理主要就用上了三句,我的建议就是买正版杀毒软件,别老是想在网上找一个拿来将就用,对于网上的杀毒软件来说,国内的你是不好找到能够升级的最新杀毒了,国外的有些病毒库更本就不全,我想你遇到的这个病毒杀毒软件就是杀不了也应该能够控制
作者: Scott0902 时间: 2006-6-10 12:16
| Quote: | |
|
我的一个朋友用正版的瑞星,也杀不了那些可恶的木马,后来也只好上网找一些木马专杀工具来解决,有时候甚至必须手工清除才彻底消灭木马。连正版的杀毒软件都无济于事,还花那么多钱买它干啥?!
作者: chineselgs 时间: 2006-6-10 12:31
| Quote: | |
|
呜呜~~
正版瑞星,金山我都用了,还有破解升级的卡巴,都是最新病毒库啊!!!!
可是都解决不了啊,面对老板那阴沉的脸,我真想把工作辞了!!!
我知道我很笨,DOS什么也不会,就来这里请教大家,没想到两天了,没人理俺~
面对这个病毒,用杀毒软件可以杀,但是往往杀完又有了
这几天都没睡好了,愁啊!!!
作者: bagpipe 时间: 2006-6-10 12:33
其实我建议他买正版杀毒也只是对于一些破坏和病毒的防范,如果你偏偏去些不该去的网站,下载一些不明的软件,我想安装什么样的木马查杀和杀毒软件也无济于事,这就是要看自己怎么去看待这样的事情。对于杀什么毒用什么软件那是没有什么绝对的事情,机器和网络的安全是要靠自己维护的,完全依赖那些软件是不明智的做法.....
光看楼主的这几条
del c:\windows\poco_.exe
del c:\windows\bitcomet.exe
del c:\windows\Vagaa.exe
del c:\windows\KuGoo.exe
就可以看出楼主的机器BT类的下载软件还不少
作者: chineselgs 时间: 2006-6-10 13:02
| Quote: | |
|
那几个是我为了关掉那些个笨鸟用的东西,这些东西很占资源,我又不能老跟在他们后面看他们都在搞什么,唉,我也没办法啊
老兄你说的也是啊,我这的机器都装有还原的,但是这个病毒也太NB了,通过QQ传播,进入系统后先干掉杀毒软件,然后干掉还原软件.建立几个ESE文件就开始下载木马,机子跟着卡的要死,过不了多久,跟定完蛋.网上的方法我查了不少,也用了不少,包括金山瑞星他们官方提供的那些个解决方案,都没用.我这里的机子本来全部都装了金山毒霸企业版的,每个星期升级一次.自从中招后杀毒软件被搞掉了一大半了(寒~~),系统也完了十来台了(还原软件被搞掉,系统当然跟着OVER了).欲哭无泪啊!!
作者: chineselgs 时间: 2006-6-10 13:09
再提供一些这个病毒的资料,供大家参考:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
作者: chineselgs 时间: 2006-6-10 13:14
病毒名称: Worm.Viking.m
中文名称:
维金(又名:威金)
威胁级别: ★★★(黄色)
病毒类型: 蠕虫
受影响系统:
Win 9x/ME,Win 2000/NT,Win XP,Win 2003
“维金”病毒五大罪状
第一罪:感染系统文件
造成系统损坏,且手动清除困难;
第二罪:下载恶性木马
盗取魔兽、传奇帐号,灰鸽子开后门使系统完全受黑客控制,QQRobber病毒等;
第三罪: 多路网络传播方式
通过感染文件、局域网共享来传播;
第四罪: 强制禁用国内知名反病毒软件
降低性安全性,易感染其它病毒;
第五罪: 变种多
数日内,已出现多个变种。
作者: chineselgs 时间: 2006-6-10 13:15
听说我这有几个网吧就因为它瘫痪了,现在正停业整顿~~~
呵呵,看来不光我一人急~~
作者: 雨露 时间: 2006-6-10 13:31
嘿嘿!对于防范局域网内部中毒,最重要一点就是加强内部管理!什么杀毒软件都是没有绝对安全的!
建议:
1。楼主先切断在路由器或internet服务器上的外部网络联接!再一台台全部还原或杀毒彻底后再联上外网!
2。对每一台电脑使用者讲解一下,不要上不良网站,否则后果自负!公布一下电脑使用管理制度!普及一下网络安全知识!
3。在路由器设置中堵截过滤一些不良网址,将一些聊天工具的端口全部封闭!
4。全公司的电脑不可能每一台都需要上外网,可以将一此非必要上外网的电脑在路由中设置让其只能在内网工作,或设置上外网时间!
5。用一些网络行为管理软件如“网络执法官”“网路岗”约束员工上网行为!
6。在公司网络中拒绝一切P2P下载软件运行!可以从技术或管理上进行!
7.如果资金允许,最好买一台硬件防火墙!
8。将内部网络进行分割!这样不至于全网都同时中招!
作者: fastslz 时间: 2006-6-10 13:39
不要说我崇洋迷外,国产的杀毒软件我有正版的也不用,装上摆设桌面也闲它麻烦,查毒不错杀毒就...国产软件确实要支持,但商家做杀毒软件就是杀毒软件不要看起来象广告软件。 (似乎时时刻刻提醒XXX杀毒正在运行)不好意思纯属个人看法
[ Last edited by fastslz on 2006-6-10 at 13:48 ]
作者: chineselgs 时间: 2006-6-10 14:29
| Quote: | |
|
你所说的我已经做了一交了,累死我了~ 结果是第二天故障依旧~
另外好多东西不敢说,也不敢做,咱只是个打工的,那些个老大们得罪不得啊!!更别说去限制什么了~~唉,难啊.
目前先把这个狗屁病毒搞定了,再做打算吧,真TM不想做了!~~~!!!!!!!!!
作者: bagpipe 时间: 2006-6-10 14:35
chineselgs,我给你传上去了两个专杀工具,下载地址是:http://bagpipe.ys168.com
你下载下来以后把网络先断开,然后进入安全模式进行查杀,在安全模式清理一下注册表的一些基本启动项目,然后进入正常模式再次进行查杀,把没用的软件通通卸载,如果没有病毒在用系统盘修复一下--SFC /SCANNOW ,现在我也只能祝你好运了 ...........
作者: chineselgs 时间: 2006-6-10 14:50
非常感谢楼上的!!!
看来问题没开始想的那么简单了,没办法,只能进行全面处理了,今晚再搞个通宵,看看效果吧.
作者: 雨露 时间: 2006-6-10 16:59 标题: 我的一次“杀马”过程
某天,我公司一财务电脑中了一木马!表现为很多程序不能运行、D盘双击打不开!启动超级兔子后发现启动项有可疑程序
项目名称:TProgram
命令行:C:\windows\smss.exe
用超级兔子杀死smss.exe后,重启动又再次生成!而且会跳出smss.exe运行错误报告!这个窗口也关闭不了!有时会死机(财务电脑是98系统,没有法子)
用费尔木马强力清除助手PowerRMV(http://www.wenkai.com/down/powermv.zip)
可以打开D:盘,并发现有autorun.inf和 command.com两个可疑文件,在助手上把“抑制文件再次生成”项目打上勾,再清除!重启动后再也没有这个问题了!
[ Last edited by afnspy on 2006-6-10 at 17:01 ]
作者: Climbing 时间: 2006-6-11 01:31
从楼主的描述中发现几个疑点,请楼主通过这些疑点能够找到解决之道:
1、看楼主试遍了各种方法,但却没有看到楼主给系统打安全补丁。我总觉得,对于任何病毒和木马,防胜于治。
2、既然机器都有硬件的还原卡,那么原则上系统应该不怕被病毒破坏,全部机器重启一下还原不就行了?
3、既然这个病毒是通过系统的弱口令及默认管理共享传播的,为什么不去掉所有机器的管理共享,这可以通过修改注册表一劳永逸的实现,具体方法,请google。
作者: chineselgs 时间: 2006-6-11 08:28
回答楼上的:
安全补丁我是经常打的,但不知最近有没有推出新的补丁,谢谢提醒!
机器没装还原卡,装的是还原精灵,而且只保护系统盘.事实上包括还原精灵,还原卡,冰点等东东都对它无可奈何.
这边不共享是无法正常工作的,所以行不通,修改注册表?我尝试过删除注册表启动项,禁止病毒程序运行.
这个病毒真TMNB!!
唉,咋天切断了一部分机台的网络,挨个杀毒,现在看还没什么事,杀毒进行中~~~
作者: 3742668 时间: 2006-6-11 13:19
风声鹤唳,谈毒色变。
关于怎么查毒杀毒不想多说,就你的情况,如果你能设置好权限相信能够解决问题。
把注册表中可能用来启动病毒的键全部设置为禁止写入,把关于IE设置的键全部设置为禁止写入(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings键最好不设置禁止,否则开IE会比平时慢上那么1秒),把启动文件夹设置为只可读不可写,把C盘下部分可能更新的软件所在文件夹除外,其他的一律禁止写入,特别是windows和system32目录。
作者: chineselgs 时间: 2006-6-12 12:46
多谢版主,现在清的差不多了,正在加强防护.
希望从此天下太平.
........................................
作者: electronixtar 时间: 2006-6-12 17:30
路过
(默默念到:偶向来裸奔,还没中过招,没中过,没中过,没中过,……)
作者: chineselgs 时间: 2006-6-12 18:30
靠,敢路过我这儿
此路是我开
此树是我栽
要从此处过
留下买路财
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
作者: kingljp 时间: 2006-6-13 12:10 标题: 同是天涯苦命人哪
我们这里也中啦,最后重做系统,全盘刻才放心
太毒了!!!!
作者: willsort 时间: 2006-6-14 16:47
───────────────── 版务记录 ─────────────────
执行:Will Sort
操作:移动主题:自 DOS批處理 & 腳本技術(批處理室)
说明:依照主题内容分类,更适合于发表在此版区
───────────────── 版务记录 ─────────────────
作者: netgubin 时间: 2006-6-26 04:23 标题: 有杀毒软件可以杀~
NOD32这个杀毒软件可以杀logo_1
作者: htysm 时间: 2006-6-26 13:57
对楼主同情中,有的病毒确实厉害,不过也确实正如有的网友所说,防胜于治呀。
作者: DOSforever 时间: 2006-6-26 16:17
今天才看到这个帖子。楼主说的那个病毒我没遇到过。所以我也就不就事论事的说了。我就谈谈我杀毒的体会,和大家交流交流。也请各位谈谈各自的经验。
先说说杀毒软件。
关于杀毒软件谁好,这是一个一直在争论的问题,有说AAA最好,ZZZ最烂的,反之,也有说ZZZ最好,AAA最烂的,也有人说都不好,XXX才最好。在识别病毒数、资源消耗、易用性等方面总有几种杀毒软件是相对名列前茅的,但我的看法是不要钱的最好,可以免费升级的最好(包括破解版的)
再谈谈怎么杀毒。
在谈之前我一直有个想法要对各位乃至所有IT界要说:现在的“病毒”没有资格称为病毒,不应该再叫病毒。为什么?想一想,当初计算机病毒正是借用了生物学上病毒的概念,因为它的生存及行为方式和生物学上的病毒极其相似。首先它无法单独存在,必须寄生在正常的文件内,或者系统所用的扇区内,也就是无法以一个文件的形式存在。因为假如它胆敢以一个文件的形式存在,我立马就能把它给 del 掉!所以,它必须偷偷摸摸的隐藏自己。
到了 Windows 时代情况就不同了,一个病毒居然能够堂而皇之的以一个或数个文件的形式存在!它居然胆敢跳出来了!为什么呢?这就是 Windows 惹的祸!如果是在 DOS 下,有关启动的地方没几个,我一查就知道哪里不正常了。而 Windows 呢,我今天以为都知道了,可哪天不知又从哪里蹦出一个地方来,天呐,没想到这里也和启动有关?!除了系统自身启动外,资源管理器的启动,IE的启动都有可能被病毒利用。而 microsoft 从来没有说清楚过系统的启动、一个应用程序的启动到底和哪些文件有关。不知道 microsoft 自己的工程师能不能把注册表中的每一项都明明白白、清清楚楚的说清楚。因此 Windows 自己就是一个庞大的藏污纳垢的地方!现在的病毒正是利用了人们对系统文件的无知所以才胆敢以文件的形式存在。因此,现在的计算机病毒不能叫病毒,而应该叫细菌,应该叫计算机细菌!(据我所知,是本人第一个提出这个想法的)
但是,也正是由于现在的病毒(姑且先按习惯的这么叫吧)胆敢以文件的形式存在,也使得我们能够以手工的方式来清除它。我现在只有两种病毒无法在带毒的环境下手工清除,一种是3721,另一种是替换掉 Windows 自身最基本系统文件的病毒,即在安全模式下也要调用的系统文件。其余的病毒基本上都能做到即使在带毒环境下也能手工删除,即使病毒文件删不干净至少也能让它不活跃,这样然后就可以调用杀毒软件进行全盘清除。象 afn 小妹提到的 smss.exe 这个病毒我遇到过,就是手工清除的。
好了,大话先说到这,其他各位如有什么经验和挑战,欢迎拿出来分享和交流。
作者: htysm 时间: 2006-6-26 17:21
说的精彩,鼓掌."哗哗哗........"
作者: gwlok 时间: 2006-6-26 17:35
楼主那从事网管工作?
作者: 220110 时间: 2006-6-26 21:44
| Quote: | |
|
DOSforever有创意!但germ好象有"益生菌"之类之分,virus没有吧.
作者: DOSforever 时间: 2006-6-26 22:18
呵呵,你说的没错。但我的印象中以前好象有一种病毒发作时会给你清除几种病毒,它本身好象没什么危害,叫什么名我忘了。
作者: chineselgs 时间: 2006-6-29 00:43
| Quote: | |
|
福建泉州